雲計算廠商如何破局身份安全難題？

本文作者：馬超 中信銀行 資深技術經理 阿里雲 MVP。

十年前，人們講「互聯網的一切源自於代碼」，十年後的今天，人們發現雲計算正在吞噬整個世界。在目前整個社會全面「雲」化的大趨勢下，雲安全問題受到了人們廣泛的關注。

最近，阿里的雲棲大會和華為的全連接大會，都將焦點集中在了安全問題上；無論是雲棲大會上，阿里安全團隊的「雲安全終將破題」，還是全連接大會上， 360 集團雲安全研究院副院長魏小強的「新一代網絡安全框架-連接雲平台」主題演講，均引起了業內的廣泛共鳴。

近日，各類安全漏洞頻發。先是永恆之黑漏洞，造成全球數百萬台 PC 中招，隨後 5 月，谷歌旗下 Project Zero 信息安全團隊，公佈了其在蘋果公司的 Image I/O 中發現的一些 bug。Image I/O 庫是被 iOS、MacOS、WatchOS 和 TVOS 所共有的多媒體庫。因此，谷歌曝光的這一缺陷，幾乎影響了蘋果的每一個主要平台。

安全事件的頻發充分說明了，平衡安全與效率二者之間的關係，對於大型雲服務商，是一個不得不面對的難題。在親歷了雲棲與全連接兩場業內頂會之後，筆者發現身份認證和訪問權限管理，已經成為雲安全中不可或缺的一環，但目前華為雲的 IAM 和阿里雲的 IDaaS 產品都還沒有很好的解決，而另一家初創企業 Authing 在雲身份認證領域的表現卻可圈可點。

上雲要快，更要安全

自 2006 年「雲計算」概念誕生以來，企業上雲浪潮席捲全球。由於企業上雲後可靈活使用資源，擴展靈活易管理的業務模式，提高資源配置效率，降低信息化建設成本。業界有說法是「系統上雲後，硬件投入成本減少近 2/3」。

與此同時，網絡安全事件也如幽靈般不斷為人們敲響警鐘。在 Verizon「2020 數據洩露調查報告」中，對 Web 應用程序的攻擊佔洩露總數的 43％，是 2019 年的兩倍多，其中絕大部分有效攻擊都與身份認證問題直接相關。

研究人員表示，由於企業把更多的工作流轉移到雲服務上，一旦黑客發現了雲服務商的安全漏洞，那麼其攻擊範圍與破壞程度較未上雲時，將成倍的擴大。所以用戶不僅要上雲，更需選擇安全的上雲路徑，這也對雲廠商的安全能力提出更高的要求。

為應對日益高漲的雲安全需求，2009 年，國際雲安全聯盟（CSA）成立，後來 CSA 發佈的「雲安全指南」成為雲計算領域最權威的安全指南。目前的雲安全技術領域，除了微軟、亞馬遜等傳統雲服務巨頭以外，國內外還湧現出一批雲安全的初創公司。

安全帶來的價值

雲安全技術愈發重要，基於雲的身份認證也正在創造著巨大的價值。愛沙尼亞這個東歐波羅的海國家，憑藉其信息科技發達的優勢，被稱作「波羅的海之虎」，成功躋身於高收入國家。其秘決就在於通過「雲身份證」，使該國人氣迅速增加。

2014 年 10 月愛沙尼亞宣佈對全世界所有人開放「電子公民」身份證服務，這也是全世界首例電子公民項目，愛沙尼亞政府旨在將愛沙尼亞優質便捷的網絡工商政務服務帶給全世界人民，讓全世界互聯網創業者更加便捷，更加低成本地創業。

截止到目前，已經有超過 50 個國家的公民超 1000 萬人申請了愛沙尼亞電子公民，這個數字還在不斷上漲中。2015 年 5 月份，愛沙尼亞政府再出新政，無需申請人去愛沙尼亞大使館申請，可全程網上辦理，只需要在官網填寫簡單的信息，並用信用卡繳納 50 歐元的申請費即可。

只要有了這個電子身份證，就算不在愛沙尼亞境內的外國人，通過互聯網，就能享受愛沙尼亞的工商政務和銀行服務。 比如說，你可以在網上分分鐘註冊一個正規的愛沙尼亞公司（營收稅率為 0%），也可以在網上開設愛沙尼亞銀行的賬戶，直接投資炒美股。這些服務對於這個時代的數字居民和互聯網創業者來說，都是極為有用的。這也讓人們驚呼，原來安全認證還能創造價值。

這樣的奇蹟也在我國發生，目前在我國雲計算行業大幅發展的背後，企業上雲還能享受到的一大好處就是基於硬件的數據安全能力。傳統的數據安全產品大多基於軟件實現的，而目前，阿里雲、微軟、IBM 三家都已經為客戶提供了「可信執行環境」，這是一個基於處理器硬件保護的解決方案，通過軟、硬件結合的方式防止數據運行時的洩露。

雲廠商具備的計算資源、規模優勢等先天條件，使其可以借助加密計算等多種前沿技術，來保證用戶數據安全，增強企業上雲的安全性。

基於這樣的大背景，使雲端身份認證等安全項目得以快速發展。也正如我們剛剛所講，目前如何平衡安全與效率之間的關係，其實是擺在各大雲服務商面前的難題。之前由於安全的限制，傳統行業，尤其教育行業中的身份認證，效率往往比較低下，主要採用「用戶名、口令」的方式來實現對用戶的身份認證，各系統身份認證方式也全部採用傳統的用戶名、口令的鑑別方式。

「用戶名、口令」的機制很容易由於用戶安全意識不強的問題，而導致人為洩漏或者被別人猜測成功。比如我國的大學生，如果忘記了相關服務用戶密碼，往往需要提交工單，由出版社手工操作幾天後才能找回，而且手機、微信、郵箱等渠道也沒有打通，這也給廣大學子們帶來了諸多不便。

而 Authing 身份雲在進入到教育領域後，這一切得到了明顯改變。可能現在的大學生們對於查找課後答案，已經基本沒有任何不適感了，只要綁定微信、手機號，用戶的身份信息就不會再丟失。在提升安全指標的前提下，還能提高效率，這就是身份認證創造的價值。

IDaaS 雲身份認證勢不可擋

IDaaS 身份即服務，它是雲計算時代的 IAM（身份識別和訪問管理）服務，也可理解為 SaaS 化的 IAM。它提供了單點登錄、強大的認證管理、基於策略的集中式授權和審計、動態授權、企業可管理性等功能。而 IDaaS 相較於傳統安全外掛式、成本貴的缺點，優勢十分明顯，縱觀整個信息安全領域的發展形勢 IDAAS 等雲原生安全方案逐漸興起，主要是因為互聯網安全遇到以下三大挑戰：

成本高昂、重複造輪子

傳統安全方案需要企業需要採購幾十甚至上百個安全產品，才能初步建立企業安全體系，成本高昂不說，對於安全體系來說這也是一種重複建設的浪費。

傳統安全模型是游離在 IT 體系之外的外掛式安全

企業在使用網絡、存儲、數據庫等 IT 基礎設施時，往往採購自不同的廠商，安全產品也有不同的品牌。於是只能在基礎設施外部署相關的安全產品，做「外掛式的安全」。

如何能讓安全產品與產品間、安全產品與基礎設施間做更好地聯動？這對於傳統安全廠商來說，是個較大的挑戰。

傳統安全產品使用門檻較高

這讓安全產品成了「奢侈品」。企業光購買安全產品沒有用，必須還得有專門的安全人員來使用，才能真正發揮效果。於是線下安全廠商大多採用產品加服務的銷售方式，由於無法構成相對聯動的體系，需要企業招聘更多安全專業人員來專門運營，極大增加了成本。

在企業數字化轉型的過程中，IT 基礎設施和應用逐漸上雲，安全也隨之往雲化發展。由於在雲上，虛擬化環境、業務的流量更複雜，因此雲防護的方式，將更加多元化、複雜化。雲改變企業底層基礎設施架構，傳統安全架構不再適用於雲上，雲安全將重新定義企業的安全架構，而 IDaaS 這種天然雲原生的解決方案，可以直接與雲計算框架融合，從而完美解決雲安全領域中，效率與安全兩者不可兼得的情況。

IDaaS 重新定義安全

根據 O'ReillyMedia 和 Dynatrace 的研究表示，預計到 2021 年，92% 的企業將實現雲原生，而雲原生安全，將是安全領域未來的發展方向。在企業數字化轉型的過程中，基礎設施技術架構將會隨之雲化，原來企業架構是簡單的單點系統架構，而如今均發展為分佈式架構，底座是基於雲的底層技術。由於企業底層架構技術採用了雲原生技術，架設底層架構之上的安全技術架構也必須隨之雲原生化，而 IDaaS 恰恰是雲原生安全技術的典範。

基於 IDaaS 安全能力構建的下一代安全架構，可以實現雲的基礎設施與安全能力的打通，解決原來傳統安全體系成本高昂的困境。同時， IDaaS 與 IT 基礎設施的結合也更為緊密。緊耦合的原生安全，從而做到安全管理、安全風險的持續化監控，用一個控制台，實現對所有身份資產的全方面安全管理。

由於 IDaaS 可以天然與雲平台的全網威脅情報聯動，可以針對身份認證安全風險做全網的自動化響應，由傳統的小時級降低到分鐘級，大大降低安全事件給企業帶來的損失。

放眼全球市場，全球頂級雲廠商都在朝著統一化、雲原生化的安全管理方向發展。如今雲安全已逐漸成為行業共識，國內雲廠商聯動起來，共同打造雲安全生態已成為未來行業的發展趨勢。伴隨新基建政策，全球數字化轉型等趨勢，5G、人工智能、雲計算、大數據等技術的快速發展，各行業對 IDaaS的需求必持續增長，相信 IDaaS 的未來大有可為。

本文經授權發布，不代表36氪立場。
如若轉載請註明出處。來源出處：36氪